¿Qué es NERC-CIP?

Ciberseguridad NERC-CIP

La Base: El Estándar de Ciberseguridad para el Sector Eléctrico

El Coordinador Eléctrico Nacional, responsable de operar el sistema eléctrico entre Arica y Chiloé, está promoviendo una visión integral para abordar la seguridad de la información, la ciberseguridad y la protección de la infraestructura crítica. Este enfoque busca garantizar una gestión coherente y sostenible, basada en cuatro dimensiones clave:

En 2020, la Superintendencia de Electricidad y Combustibles (SEC) aprobó el Estándar de Ciberseguridad para el Sector Eléctrico, inspirado en la normativa estadounidense NERC-CIP. Este estándar ha sido adaptado a la realidad local para asegurar la continuidad operacional del sistema eléctrico nacional.

Dos años después, en 2022, el Consejo Directivo del Coordinador Eléctrico Nacional consolidó esta visión mediante la Política Integral de Seguridad de la Información, Ciberseguridad e Infraestructura Crítica, que articula tres elementos fundamentales:

¿Qué Comprende la Infraestructura Crítica?

La política incluye un espectro amplio de activos y procesos esenciales, tales como:

Retos en un Entorno Global

Las tecnologías del sector eléctrico son cada vez más vulnerables a ataques sofisticados. Grupos criminales ven en estas infraestructuras un objetivo estratégico. Por ello, garantizar la disponibilidad, confiabilidad y resiliencia del sistema eléctrico es esencial para satisfacer una demanda energética creciente.

El estándar NERC-CIP, implementado en países como México, Colombia, Brasil y Chile, consta de 13 capítulos que proporcionan un marco para proteger tanto los activos físicos como digitales, además de las personas involucradas en las operaciones críticas.

Los 13 capítulos de la norma NERC-CIP

  1. CIP-002: Ciberseguridad — Categorización de Ciber Sistemas SEN Identifica y clasifica los Ciber Sistemas del Sistema Eléctrico Nacional según su impacto en la confiabilidad del sistema.
  2. CIP-003: Controles de Gestión de la Seguridad Establece políticas de ciberseguridad para proteger los Ciber Sistemas SEN, asignando roles y responsabilidades claras.
  3. CIP-004: Personal y Capacitación Asegura que el personal con acceso a los Ciber Sistemas SEN esté capacitado y evaluado para minimizar riesgos.
  4. CIP-005: Perímetro de Seguridad Electrónica (PSE) Gestiona los accesos electrónicos y establece perímetros de seguridad para evitar accesos no autorizados.
  5. CIP-006: Seguridad Física Protege físicamente los Ciber Sistemas SEN mediante controles de acceso, vigilancia y procedimientos de respuesta.
  6. CIP-007: Gestión de la Seguridad de Sistemas Incluye la gestión de puertos y servicios, administración de parches y prevención de códigos maliciosos.
  7. CIP-008: Reporte de Incidentes y Planes de Respuesta Establece planes para responder a incidentes de ciberseguridad y notificar eventos relevantes.
  8. CIP-009: Planes de Recuperación Garantiza la recuperación de los sistemas tras un incidente mediante planes documentados y pruebas periódicas.
  9. CIP-010: Gestión de Cambio de Configuración Define procesos para la gestión de cambios y evaluación de vulnerabilidades en los Ciber Sistemas SEN.
  10. CIP-011: Protección de Información Asegura la protección de datos sensibles y la eliminación segura de información crítica.
  11. CIP-012: Comunicaciones entre Centros de Control Protege la confidencialidad e integridad de las comunicaciones entre centros de control.
  12. CIP-013: Gestión de Riesgos en la Cadena de Suministros Mitiga riesgos asociados a proveedores y terceros en la cadena de suministro.
  13. CIP-014: Seguridad Física Identifica y protege instalaciones críticas contra amenazas físicas mediante evaluaciones y controles robustos.

Implementación del Estándar en Chile

Desde 2020, el estándar se aplica a todo el sistema eléctrico nacional, evaluando a generadoras, transmisoras, distribuidoras y clientes libres según su nivel de impacto: alto, medio o bajo. Este enfoque permite una clasificación clara y una gestión personalizada para cada actor del sistema.

Una Tarea Colectiva

La seguridad del sistema eléctrico nacional es un esfuerzo conjunto que involucra a todos los actores del sector. Desde grandes generadoras hasta pequeños operadores, cada entidad tiene un papel crucial en la protección de esta infraestructura vital.

El enfoque integral del Coordinador Eléctrico Nacional combina estrategia, procesos, personas e infraestructura crítica, alineándose con las mejores prácticas internacionales y adaptándose a las particularidades del contexto local.

Implementación de NERC-CIP: Claves para el Éxito

La implementación de estas normas es un proceso dinámico que requiere un enfoque estratégico y colaborativo. Algunas de las principales acciones incluyen:

  1. Diagnóstico inicial: Identificar activos críticos, evaluar riesgos y clasificar sistemas según su nivel de impacto.
  2. Política integral: Establecer lineamientos claros que abarquen ciberseguridad, seguridad física y gestión de riesgos.
  3. Capacitación y concienciación: Formar al personal en prácticas de seguridad y promover una cultura preventiva.
  4. Gestión tecnológica y física: Proteger los sistemas mediante monitoreo continuo, controles de acceso y medidas de recuperación ante incidentes.
  5. Colaboración sectorial: Intercambiar buenas prácticas, trabajar en conjunto con reguladores y alinear esfuerzos para fortalecer la seguridad del sistema.

Reflexión Final

El desafío no solo radica en implementar estándares técnicos, sino en crear una cultura de seguridad que involucre a todas las partes interesadas. La sostenibilidad y la continuidad de nuestras operaciones energéticas dependen de ello.

¿Qué medidas adicionales consideras esenciales para fortalecer la seguridad de nuestras infraestructuras críticas?